[디지털 포렌식]08. App Artifacts
윈도우 브라우저 아티팩트
앱 아티팩트에는 사용자와 가장 근처에 있는 아티펙트인 웹 아티팩트가 있다.
웹 브라우저 아티팩트 포렌식 분석은 브라우저 설정, 방문 기록, 캐시, 쿠키/로컬 스토리지/인덱스드 DB, 로그인 자격 증명, 다운로드, 세션, 탭, 자동 완성 데이터 등 다양한 요소를 포함한다. 이를 통해 사용자 행동을 분석할 수 있으며, 최근 관심사 파악이 가능하다.
웹 브라우징 관련 흔적으로는 방문한 웹사이트, 검색 키워드(URL 매개변수, 웹페이지 제목), 캐시된 내용, 다운로드한 파일, 저장된 로그인 자격 증명(ID/PW, 토큰) 등이 있다. 이러한 정보는 디지털 포렌식 조사에서 중요한 증거로 활용될 수 있다.
이번 글에서는 이러한 웹 브라우저 아티팩트에 대해서 더 자세히 알아보자.
11. Application Artifacts
01. Web Browser
1. 웹 브라우저란?
사용자들이 www(월드 와이드 웹) 또는 로컬 네트워크에서 웹 사이트를 찾고 접근하며 볼 수 있게 하는 애플리케이션이다. 사용자와 인터넷 사이의 인터페이스 역할을 한다.
즉, 사용자 ← [웹 브라우저 = 인터페이스] → 인터넷
대표적으로는 apple safari, google chrome, microsoft Edge, Explorer, Naver Whale, Opera, Mozilla Firefox가 존재한다.
2. 웹 브라우저의 기능
사용자 관심사와 밀접한 애플리케이션이다. 예를 들면 자주 방문한 웹 사이트, 검색 키워드 등이 있다.
정보 교환의 편리한 방법으로 사용된다. 예를 들어, 웹메일, 메시징, SNS, 협업 서비스, 클라우드
다양한 브라우저 기반 애플리케이션으로 사용된다. Teams, Slack, Discord, Wire
02. Web Browser & Digital Forensics
1. 웹 브라우저 포렌식
웹 브라우저를 포렌식한다는 것은 무엇일까?
우리가 평소에 쉽게 접하고 사용하는, 사용자와 매우 밀접한 애플리케이션인 웹 브라우저가 생성한 다양한 로그를 식별하고 분석하는 것을 말한다. 사용자의 행동과 관심사를 분석하여 범죄와 관련된 다양한 디지털 증거를 포함하고 있기 때문에 동기, 목적, 요구, 방법, 기술 등을 파악하는 데 용이하다.
2. 웹 브라우저 로그(아티팩트) 유형
웹 브라우저 아티펙트는 다양한 유형이 있다.
첫번째로는 방문한 웹 사이트의 목록인 방문 기록(History)가 있다. 웹 주소, 웹사이트 제목, 방문 시간과 횟수 등을 저장하고 있다. URL은 유저 아이디, 검색 키워드, 타임 스탬프 등의 유용한 정보가 담겨 있다. 주로 BrowsingHistoryView와 같은 도구로 분석할 수 있다.
캐시(Caches)는 웹 사이트를 방문할 때 자동으로 다운로드 및 저장되는 데이터이다. 웹사이트를 재방문할 때 더 빨리 로드하기 위해 사용한다. HTML, XML, JavaScript, 이미지, 오디오, 비디오 등의 데이터 유형이 존재한다. URL과 사이즈, 마지막 접근 시간, 만료 시간, 서버 이름, 캐시 제어 등의 정보가 담겨 있다. 주로 ChromeCacheView와 같은 도구로 분석할 수 있다.
쿠키(Cookies)는 서버가 사용자의 웹 브라우저에 보내는 작은 데이터 조각이다. 사용자 친화적인 서비스를 제공하기 위해 이용되며, 호스트 이름, 경로, 값, 마지막 접근 시간, 만료 시간과 생성 시간을 담고 있다. ChromeCookiesView와 같은 도구로 분석할 수 있다.
다운로드(Downloads)는 사용자가 로컬 시스템에 의도적으로 선택하고, 다운한 파일을 말한다. 사용자가 의도하지 않고 다운로드 되는 캐시와 차이점이 있다. 다운로드한 파일 경로, 시작 및 종료 시간, 참조 URL, 수신된 바이트 등의 정보를 담고 있다.
로그인 자격 증명 (Login Credentials)은 웹 브라우저가 담고 안전하게 저장하는 자격 증명을 말한다. 타임스탬프와 URL, 사용자 ID와 암호화 된 비밀번호를 담고 있다.
이 비밀번호의 암호화는 대부분의 브라우저들이 Windows DPAPI를 사용하여 중요 데이터를 암호화하고 있다. Firefox같은 경우에는 독자적인 암호화 방식을 사용하기도 한다. 브라우저별로 데이터 저장 위치는 다르지만, Chrome 기반 브라우저들(Chrome, Edge, Opera)은 유사한 구조를 가진다.
Windows DPAPI는 Microsoft에서 개발한 데이터 암호화 메커니즘으로, 사용자의 민감한 정보를 보호하는 데 사용된다. 이 시스템은 다양한 Windows 애플리케이션에서 널리 사용되며, 특히 웹 브라우저의 로그인 정보와 쿠키 데이터 보호에 중요한 역할을 한다.
주요 특징:
암호화 매커니즘: 데이터 암호화에 사용되는 마스터키에 의존한다.
마스터키: 사용자 암호의 파생 값으로 암호화되며, 3개월마다 자동으로 교체된다.
마스터키 저장 위치: %UserProfile%\AppData\Roaming\Microsoft\Protect{SID}{GUID}\
DPAPI로 암호화된 데이터 복호화 방법:
Live 시스템: CryptUnprotectData 함수를 호출하여 복호화할 수 있다.
Dead 시스템: SID 및 암호를 포함한 사용자 계정 관련 정보가 필요하다.
도구 활용: mimikatz, LaZagne 등의 도구를 사용하여 복호화 가능하다.
03. Forensic Exploration of Web Browser Artifacts
1. Google Chrome
Google Chrome Google Chrome은 구글에서 개발한 Chromium 기반 웹 브라우저로, 블링크 렌더링 엔진을 사용한다. Chrome의 프로필 기본 폴더 이름은 'Default'이며, 여러 프로필은 'Profile #' 형식으로 저장된다.
아티팩트 위치: %UserProfile%\AppData\Local\Google\Chrome\User Data{profile}\
주요 아티팩트는 아래와 같은데, 위에서 설명했던 웹 아티펙트와 거의 동일함을 알 수 있다.
Cache*.*: 캐시된 데이터
Cookies: 자동 로그인 자격 증명, 사이트 설정 등
History: 방문한 웹사이트 목록
Login Data: 로그인 정보
Local Storage*.*: 웹 데이터 저장소 (쿠키 및 캐시 대안)
2. Microsoft Edge
Microsoft Edge는 Chromium 기반 웹 브라우저로, Google Chrome과 유사한 구조를 가진다.
아티팩트 위치: %UserProfile%\AppData\Local\Microsoft\Edge\User Data{profile}\
주요 아티팩트는 아래와 같다.
Cache*.*: 캐시된 데이터
Cookies: 자동 로그인 자격 증명, 사이트 설정 등
History: 방문한 웹사이트 목록
Login Data: 로그인 정보
Local Storage*.*: 웹 데이터 저장소 (쿠키 및 캐시 대안)
3. 기타 웹 브라우저
Apple Safari: WebKit 렌더링 엔진을 사용하며, 주로 macOS, iOS, iPadOS에서 사용된다.
Mozilla Firefox: Gecko 렌더링 엔진을 사용한다.
Naver Whale: Chromium의 Blink 렌더링 엔진을 사용하며, 추가 기능을 포함한다.
Opera: Chromium의 Blink 렌더링 엔진을 사용한다.
04. Tools for handling Web Browser Artifacts
Hindsight는 웹 브라우저 아티팩트를 분석하는 도구이다. 주요 기능으로는 브라우저 설정, 방문 기록, 캐시, 쿠키, 로그인 자격 증명, 다운로드, 세션, 탭, 자동 완성 데이터 등을 분석할 수 있다. 이 도구는 웹 브라우저 로그를 SQLite 데이터베이스로 변환하여 분석을 용이하게 한다.
